Sysmon

detecting-wmi-persistence 技能可協助威脅獵捕與 DFIR 分析師，使用 Sysmon Event IDs 19、20、21 在 Windows 遙測中偵測 WMI 事件訂閱持久化。可用來辨識惡意的 EventFilter、EventConsumer 與 FilterToConsumerBinding 活動、驗證調查結果，並區分攻擊者持久化與正常的系統管理自動化。

detecting-process-injection-techniques 可協助分析可疑的記憶體內活動、驗證 EDR 警示，並辨識 process hollowing、APC injection、thread hijacking、reflective loading 與傳統 DLL injection，適用於安全稽核與惡意程式初步分析。

detecting-process-hollowing-technique 協助在 Windows 遙測中狩獵程序空洞化（T1055.012），透過關聯掛起啟動、記憶體竄改、父子程序異常與 API 證據來提升偵測命中率。它適合需要可落地的 detecting-process-hollowing-technique 來支援 Threat Hunting 工作流程的威脅獵捕者、偵測工程師與應變人員。

detecting-privilege-escalation-attempts 可協助在 Windows 與 Linux 上追查權限提升，包括 token 操作、UAC 繞過、未加引號的服務路徑、核心漏洞利用，以及 sudo/doas 濫用。專為需要實用流程、參考查詢與輔助腳本的威脅獵捕團隊打造。

用於偵測 pass-the-hash attacks 的技能，協助追查基於 NTLM 的橫向移動、可疑的 Type 3 登入，以及透過 Windows Security logs、Splunk 和 KQL 進行的 T1550.002 活動。

detecting-evasion-techniques-in-endpoint-logs 技能可協助在 Windows 端點日誌中追查防禦規避行為，包括清除日誌、時間戳竄改（timestomping）、程序注入，以及停用安全工具。適合用於威脅狩獵、偵測工程與事件初步分流，並可搭配 Sysmon、Windows Security 或 EDR 遙測資料使用。

detecting-mimikatz-execution-patterns 可協助分析人員透過命令列樣式、LSASS 存取訊號、二進位指標與記憶體痕跡來偵測 Mimikatz 執行。若你要用這個 detecting-mimikatz-execution-patterns 技能進行安裝，可用於安全稽核、威脅狩獵與事件回應，並搭配範本、參考資料與工作流程指引。

detecting-living-off-the-land-with-lolbas 可協助偵測 LOLBAS 濫用，結合 Sysmon 與 Windows Event Logs，運用程序遙測、父子程序脈絡、Sigma 規則，以及一份實用的分流、威脅狩獵與規則撰寫指南。它也支援 detecting-living-off-the-land-with-lolbas 的威脅建模與分析師工作流程，涵蓋 certutil、regsvr32、mshta 與 rundll32。

detecting-living-off-the-land-attacks 技能，適用於 Security Audit、威脅狩獵與事件回應。透過程序建立、命令列與父子程序關聯遙測，偵測 certutil、mshta、rundll32、regsvr32 等合法 Windows 二進位檔遭濫用的情況。本指南聚焦可直接落地的 LOLBin 偵測模式，而非廣泛的 Windows 強化。

detecting-fileless-malware-techniques 技能支援惡意程式分析工作流程，用來調查透過 PowerShell、WMI、.NET reflection、登錄檔常駐 payload 與 LOLBins 在記憶體中執行的無檔案惡意程式。適合用來把可疑警示轉成有證據支撐的初步分流、偵測構想與後續狩獵方向。

detecting-fileless-attacks-on-endpoints 可協助建立針對 Windows 端點記憶體內攻擊的偵測，包括 PowerShell 濫用、WMI 持久化、反射式載入與程序注入。適合用於安全稽核、威脅狩獵與偵測工程，並搭配 Sysmon、AMSI 與 PowerShell 記錄來使用。

detecting-dll-sideloading-attacks 可協助安全稽核、威脅狩獵與事件回應團隊，使用 Sysmon、EDR、MDE 和 Splunk 偵測 DLL side-loading。這份 detecting-dll-sideloading-attacks 指南包含工作流程筆記、狩獵範本、標準對照，以及可將可疑 DLL 載入轉化為可重複偵測的腳本。

detecting-credential-dumping-techniques 技能可協助你偵測 LSASS 存取、SAM 匯出、NTDS.dit 竊取，以及透過 comsvcs.dll 的 MiniDump 濫用，並使用 Sysmon Event ID 10、Windows Security 記錄與 SIEM 關聯規則來進行分析。它是為威脅獵捕、偵測工程與 Security Audit 工作流程而設計。

analyzing-windows-event-logs-in-splunk skill 協助 SOC 分析師在 Splunk 中調查 Windows Security、System 與 Sysmon 記錄，找出驗證攻擊、權限提升、持續化與橫向移動行為。適合用於事件初步研判、偵測工程與時間軸分析，並提供對應的 SPL 模式與 Event ID 指引。